Esitykseni Information Security Summit 2014 -tapahtumassa. Strategiatyö, prosessityö ja ostaminen.

1. IAM STRATEGIA – KOMPASTELEMATTA MAALIIN
Thomas Malmberg

2. IDM...SIIS IAM, EI VAAN SIIS SSO...

3. IDM … SIIS IAM, EI VAAN SIIS SSO… LYHENTEIDEN SEKAMELSKA VAI AIKANSA LAPSIA?
•Onko rakkaalla lapsella monta nimeä?
–Historia on tuottanut erilaisia käsitteitä
–Sama asia myyty moneen kertaan - epäilemättä
•Kuka päättää, mikä lyhenne on sinun lyhenteesi?
–SSO = Single Sign On
–IAM = Identity and Access Management
–IDM = Identity Management
–IGA = Identity Governance and Administration
•Tietoturvapäällikkö muistuttaa – älä unohda näitä
–PIM = Privileged Identity management
–PUM = Privileged User Management
LYHENTEILLÄ VOI
OLLA ERI
TAVOITTEITA

4. IDM … SIIS IAM, EI VAAN SIIS SSO… PÄÄTETÄÄN MITÄ TARKOITETAAN..
•A set of processes to manage identity and access information across systems
•Management of the identity life cycle
•Creates, maintains and retires identities as needed
•Governing the access request process, including approval certification, risk scoring and segregation of duties enforcement
Määrittelyt ovat Gartnerin - korostukset ovat tämän esityksen tekijän omia

5. IDM … SIIS IAM, EI VAAN SIIS SSO… VAIKKAKIN VÄHÄN MONISANAISESTI
•Core functionality
–identity life cycle processes
–automated provisioning
–access requests (including self-service)
–governance over user access to critical systems
–governance over access certification processes
•Additional capabilities
–role related tasks
–Identity analytics reporting

6. IDM … SIIS IAM, EI VAAN SIIS SSO… MÄÄRITTELYSTÄ VIISASTUMME
•Määritelmä ei ole huono – tämän päälle voi rakentaa omat vaatimuksensa, toiveensa, haaveensa sekä kuvitelmansa
•Muut vastaavat määritelmät eivät vaikuta olevan Gartnerin kanssa olennaisilta osiltaan ristiriidassa
•Konsensus näyttää olevan, että PIM ja PUM on jonkintasoista ylikurssia
Ei pidä pelätä siirtymistä “määritellyn laatikon” ulkopuolelle, mutta älä ajaudu niin kauas että hukkaat laatikon kokonaan

7. VOIKO OLLA PÄÄSYNHALLINTA ILMAN IDENTITEETINHALLINTAA TAI PÄINVASTOIN

8. VOIKO OLLA PÄÄSYNHALLINTAA ILMAN IDENTITEETINHALLINTAA TAI PÄINVASTOIN PÄÄSYNHALLINTA VS IDENTITEETINHALLINTA
•Pääsynhallintaan riittää määritelmällisesti yksi suojattava järjestelmä, yksi käyttäjähakemisto ja yksi pääsynhallintajärjestelmä
•Identiteetinhallinta on määritelmällisesti paljon laajempi, eikä yhden käyttäjähakemiston hallintakäyttöliittymää vielä voida laskea identiteetinhallinnaksi
Jos identiteetinhallintajärjestelmä kutistuu tietyn rajan alle, on se enää käyttäjärekisteri.

9. VOIKO OLLA PÄÄSYNHALLINTAA ILMAN IDENTITEETINHALLINTAA TAI PÄINVASTOIN PÄÄSYNHALLINTA VS IDENTITEETINHALLINTA
•Pääsynhallintaohjelmistoja ja ratkaisuja voi olla monta
–Eri tekniikoille (Java, .Net, ..)
–Eri ympäristöille (työasema, pilvi, intra/extra, mobiili)
•Identiteetinhallintajärjestelmiä pitää olla vain yksi
Tämän väittämän voi myös arkkitehti hyväksyä menettämättä yöuniaan.

10. VOIKO OLLA PÄÄSYNHALLINTAA ILMAN IDENTITEETINHALLINTAA TAI PÄINVASTOIN ENTÄ MISSÄ ME KOHTAAMME
•Pääsynhallintaan tarvitaan käyttäjähakemistoja
•Käyttäjähakemistot tarvitsevat käyttäjiä
•Käyttäjät tulevat identiteetinhallintajärjestelmästä
–Käyttäjät syntyvät jossain
–Käyttäjiä säilytetään jossain
–Käyttäjät provisioidaan kaikkialle
Ympyrä sulkeutuu ja palaamme alkuperäiseen määritelmään.

11. IAM-STRATEGIAN KOMPLEKSISUUS - ÄLÄ KAADU SEN MUKANA

12. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA MITÄ VOITIT MÄÄRITTELEMÄLLÄ
•Voit myydä asian sisäisesti oikeilla termeillä
•Voit ostaa oikeita asioita
•Tavoittelet sellaisia asioita joita kuuluukin tavoitella, sillä
–Tämä EI ole EA-hanke
–Tämä EI ole IT-hallinnon uudistumisprojekti
–Tämä EI ole laiterekisteriprojekti
–Tämä EI ole käyttöliittymäprojekti
–Tämä EI ole intranetin killer-applikaatio
–Tämä EI ole tietoturvaprojekti
•...joskin joihinkin yllämainituista törmätään – hyvässä ja pahassa
Totuus on seuraavalla kalvolla.

13. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA MITÄ VOITIT MÄÄRITTELEMÄLLÄ
Ensisijaisesti tämä on PROSESSI-projekti.

14. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA JOITAIN TÄRKEITÄ LATTEUKSIA
•Älä luovu tavoitteistasi – aikatauluta ja priorisoi
•Älä suunnittele ratkaisuja jotka vie vain seuraavaan tiehaaraan - katso oikeasti pitkälle tulevaisuuteen
•Kenen käsistä vaatimukset syntyvät, sen näköinen on lopullinen järjestelmä
•Älä tee IAM-hanketta eriössä oman erinomaisuutesi seurassa
“Ne jotka eivät osaa, tekevät yhä suuremman osan kaikesta. Asiantuntijoiden sivuuttaminen lisää epävarmuutta.”

15. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA ASIAA PERUSASIOISTA
•Mitä kannattaa tavoitella ja kenelle sopii mikäkin? Heitä ensimmäinen ja toinen versio roskiin.
•Mieti tarkasti - onko identiteetti osa liiketoimintaasi vai välttämätön paha jotta käyttäjä pystyy kirjautumaan työasemalleen ja lukemaan sähköpostia
Strategiatyö alkaa tästä.

16. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA ASIAA PERUSASIOISTA
•Tee tylsää työtä ja ankkuroi IAM-strategia yrityksen liiketoimintastrategiaan ja IT-strategiaan
•Ilman perusasioita ollaan nopeasti tilanteessa jossa jotain asentuu, konsultit juoksee käytävillä ja päätöksiä tehdään kapeista näkökulmista – synnytetään lopputulos jossa on paljon I:tä, tuskin A:ta eikä nimeksikään M:ää
Mutta se ei lopu tähän.

17. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA EDESSÄNI ON VALKOINEN PAPERI
•Piirrä organisaatiokaavio fläppitaululle (määrittelet potentiaaliset stakeholderit)
•Arvaa – siis määrittele - erilaisia user-story -tyyppisiä otsikkotason ajatuksia post-it -lapuille ja liimaa ne organisaatiokaavioon
•Ryhdy evankelistaksi – kirjoita myyntipuhe ja jalkaudu organisaatioon
•Innosta organisaatiota visioimaan mitä ongelmia voisitte ratkaista – kerää ajatuksia omien määritelmiesi avustamana
•Yhdistä tekemäsi strategia-ankkurointi, oma määrittelystyösi ja organisaatiosta keräämäsi kokemukset
“Strategia pitää sisällään keinot ja menetelmät saavuttaa tietyt päämäärät”

18. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA UTOPIASTA KONKRETIAAN
•Huolellisella strategiatyöllä
–Voidaan varmistaa että ei ainakaan rikota mitään olemassaolevaa joka on säästämisen arvoista
–Identifioidaan organisatoorinen vastustus
–Osoitetaan nöyryyttä nykyisyyttä kohtaan – tällä on vahva mitigoiva vaikutus edelliseen kohtaan
–Saatetaan löytää osaajia ja tekijöitä joita et tiennyt organisaatiossa olevan olemassakaan
–Saadaan tukea ja kannustusta tulevaa lopputulosta kohtaan – ja avointa keskustelua matkan varrelle
–Löydetään laadukkaat lähtökohdat sisäiseen hanke-esitykseen
Mahtavaa – utopistinen ja maksimaalinen tavoitetila ja strategia on nyt löydetty.

19. IAM-STRATEGIAN KOMPLEKSISUUS – ÄLÄ KAADU SEN MUKANA LOPPUJEN LOPUKSI
•Yhdistä tekemäsi strategia-ankkurointi ja organisaatiosta keräämäsi kokemus ja tee hanke-esitys, tavoitekuvaus ja aikataulutus tärkeimillä voitoilla höystettynä
•Budjetoi ja viimeistele sisäinen myyntityö
•Vastaanota hankintalupa ja valmistele tarjouspyynnöt
•Valmistaudu aloittamaan POC

20. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET

21. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET MITEN ROOLIT JAETAAN
•Omistajuus, tekninen omistajuus ja pääkäyttäjyys – aivan erilaiset roolit
•Mihin kohtaan organisaatiota tämä sijoittuu? Kenen vastuulle?
•Analysoi tärkeimmät IAM-toimialueet strategisesta näkökulmasta, analysoi missä on osaamista
•Identiteetinhallinnan omistajuus ei ole IT-asia (kuten esimerkiksi sähköposti, AD tai palvelintilan sähkönsyöttö)
•IAM-järjestelmä itsessään ON tekninen asia – jos mahdollista, ota tekninen osuus vahvasti osaksi yrityksen EA-osastoa

22. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET OMISTAJUUDESTA
•Omistajuus on perinteisesti vertikaalinen asia – organisaatiot osaavat useammin omistaa vertikaaleja kuin horisontaaleja
•...ja jos se ei ole vertikaali, on sen oltava IT-asia.
•VÄÄRIN
•Harkitse virtuaalihorisontaalista ratkaisua
Omistajuutta ei voi ulkoistaa

23. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET PÄÄKÄYTTÄJYYDESTÄ
•Pääkäyttäjä
–tekee operatiivisia päätöksiä ja huolehtii jatkokehityksestä
–noudattaa roadmappia ja toteuttaa strategiaa
–raportoi omistajalle
•Pääkäyttäjä huolehtii siitä, että ylläpito, dokumentaatio, toteutustekniikat ja integraatiot noudattavat yrityksen yleistä linjaa ja sovittuja menettelytapoja
•Pääkäyttäjä hankkii tarvittavan osaamisen
–Konsultteja tarpeen mukaan
–Sisäinen osaaminen

24. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET HAASTAVIA TAVOITETILOJA
•Stakeholder: IT:n jokin osa
–Käyttäjän perustaminen pitää olla nopeata ja kaikki tarvittavat roolit pitää saada heti – mielellään jopa aikaisemmin
–Käyttäjän pitää loman jälkeen pystyä vaihtamaan salasanansa itse ilman meidän apuamme
•Stakeholder: Sisäinen tarkastus
–Tarvitaan raportteja jotta tiedetään mitä on tapahtunut ja kuka teki mitäkin ja jotta organisaation toimintaa voidaan tarkastella mitä erilaisimmista näkökulmista
•Stakeholder: IT:n jokin toinen osa
–147 palvelinta jotka eivät ole AD-domainissa ja joissa käyttöjärjestelmiä on n kappaletta pitää saada tämän tämän piiriin
Onko näitä lisää?

25. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET LISÄÄ HAASTAVIA TAVOITETILOJA
•Stakeholder: Riskienhallinta
–Roolit pitää määritellä siten että vaarallisia työyhdistelmiä ei synny ja jos syntyy pitää meidän pystyä raportoimaan niistä sisäiselle tarkastukselle kysyttäessä heti eikä viikkojen tutkimustyön kautta
•Stakeholder: Henkilöstöosasto
–Me perustamme aina käyttäjän tähän yhteen järjestelemään, me siis omistamme käyttäjän
•Stakeholder: Liiketoimintaorganisaatio
–Pitääkö meidän TAAS ottaa johonkin kantaa, eikös tämä nyt ole IT- asia?

26. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET VIELÄKIN LISÄÄ HAASTAVIA TAVOITETILOJA
•Stakeholder: IT:n jokin kolmas osa
–Pilvipalveluna ostettava järjestelmä tarvitsee tunnuksia, mistä ne otetaan ja millä tekniikalla
•Stakeholder: Liiketoiminta – osa 2
–Olemme päättäneet ryhtyä yhteistoimintaan tämän tietyn tahon kanssa, ja meidän pitää hallinnoida partnereiden tunnuksia omissa järjestelmissämme – me omistamme nämä tunnukset
–...tarkemmin ajateltuna, heidän pitää kyllä pystyä hallinnoimaan rajatusti omia tunnuksiansa itsekin
•Stakeholder: Sovelluskehitys
–Meidän testitunnuksemme on aina hukassa emmekä oikein ymmärrä missä ne on ja kuka niitä hallinnoi

27. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET MINUN TAVOITTEENI ON TÄRKEÄMPI KUIN SINUN
•Omistajuuden ja pääkäyttäjyyden sijoittuminen väärään paikkaan voi tuottaa järkevästä ja hyvästä strategiasta tehottoman ja siiloutuneen erillisjärjestelmän
•Ratkaise organisatooriset haasteet ja tavoitetilahaasteet mahdollisimman aikaisessa vaiheessa – mielellään heti strategiatyön jälkeen tai sen yhteydessä

28. OMISTAJUUDEN JA TAHTOTILOJEN HAASTEET NYT VAI HETI
•Olet toteuttamassa projektia jonka pitää olla valmis tiettynä hetkenä
•Olet toteuttamassa järjestelmää jonka kanssa voidaan elää tietystä hetkestä eteenpäin
•Mikä on tärkeämpää – olla valmis tiettynä hetkenä vai olla valmis tietystä hetkestä eteenpäin?
Tiettynä hetkenä – vaiko siitä hetkestä eteenpäin?

29. MITÄ PAREMMIN OSTAJA OSTAA SITÄ PAREMMIN MYYJÄ MYY

30. MITÄ PAREMMIN OSTAJA OSTAA SITÄ PAREMMIN MYYJÄ MYY OSTAMISEN OSAAMINEN
•Voit ostaa mitä tahansa – josta seuraa että sinulle myydään ihan mitä vaan
•Myyjän etu ei ole ostajan etu
–Hyvä ostaja ajattelee vuosissa
–Hyvä myyjä ajattelee kvartaaleissa
•Osta aluksi pieniä makupaloja
•Älä hyväksy tarjouksia tai sopimusehdotuksia joita ei kukaan vähänkin hankalammassa tilanteessa osaa tulkita
Paras ostaja osaa tehdä kaiken itse, mutta aika ei riitä?
Paras ostaja tietää mitä hän ei itse osaa, ja ostaa sen?

31. MITÄ PAREMMIN OSTAJA OSTAA SITÄ PAREMMIN MYYJÄ MYY MITÄ VOISIN OSTAA
•Strategiatyön avuksi kannattaa ostaa sparrausta. Älä kuitenkaan päästä itsesi liian helpolla ostamalla “valmiin strategian”
•Roadmap- ja projektisuunnitelman voi ostaa kolmannelta osapuolelta – jolla ei ole omaa lehmää ojassa
•Tuote-evaluaatiot kannattaa toteuttaa kolmannella osapuolelle – joka ei edusta jotain tiettyä tuotetta
•Tarjouspyyntöjä tekee kätevimmin osto-ammattilainen
•Järjestelmän implementaatiotyö ostetaan kätevästi kokonaistarjouksena
•Järjestelmän liittyvät spesifiset integraatiotyöt voidaan ostaa erillistoimituksina
Sisäinen työ ei ole Ilmaista.

32. MITÄ PAREMMIN OSTAJA OSTAA SITÄ PAREMMIN MYYJÄ MYY OSTAMINEN ON HANKALAA
•Määrittele ostoksesi definition-of-done tarkasti
–Jokaiselle ostettavalle kokonaisuudelle joudut määrittelemään oman definition-of-done:n
–Mitä epämääräisempi se on, sitä hankalampi sinun on hyväksyä osatoimituksia tai kokonaisuuksia
–Älä piilota (tai anna toimittajan piilottaa) hankalia harmaita alueita ympäripyöreiden tavoiteasettelujen taakse
•Ostamiseen menee paljon aikaa – käytetty aika korreloi suoraan saatuun lopputulokseen
Haluatko olla oikeassa, vai haluatko toimivan järjestelmän?

33. MITÄ PAREMMIN OSTAJA OSTAA SITÄ PAREMMIN MYYJÄ MYY OSTAMINEN KANNATTAA
•Ostamalla hyvin voit vähentää omia riskejäsi
•Ostamalla hyvin säästät kaikkien aikaa
•Ostamalla hyvin saat parhaan osaamisen käyttöösi
Käänteisesti?

34. EXTRA BALL

35. EXTRA BALL PIM
•PIMin pitäisi olla olennainen osa IAM-strategiaa
–Strategiassa voit myös rajata sen ulos - kunhan perustelet sen
•Voidaan ajatella että IAM:ssä
–Ratkaistaan isojen massojen ongelmat ja haasteet
–Kosketellaan pääsynhallinnallisia asioita joihin liittyy rajalliset riskit
•Voidaan ajatella että PIM:issä
–Ratkaistaan pienen (ja monesti näkymättömän) piirin ongelmia ja haasteita
–Kosketellaan pääsynhallinnallisia asioita johon liittyy valtavat valtuudet ja oikeudet ja sen mukana erittäin suuret
RISKIT

36. EXTRA BALL …PELIPOM
•Yksinkertaistetusti voidaan sanoa että PIM on paljon teknisempi pelikenttä kuin IAM
–Osana strategiaa, mutta erilainen toteutustapa
–Omistajuus sijoittuu IT:hen tai riskienhallintaan tai IT- Riskienhallintaan
•PIMillä yritetään ratkaista sellaisia riskejä, mistä ei tavallisesti edes haluta puhua siksi että asian ratkaiseminen on hankalaa ja kivuliasta
–IT-työntekijäriski
–Ulkoistamispartnerin työntekijäriski
–Pilvihallinta
Erilainen omistajuus.

37. YHTEENVETO JA KYSYMYKSIÄ
•Hallitse lyhenteesi – hallitse pelikenttäsi
•Suunnittele strategia huolellisesti
•Suunnittele strategia ymmärrettävästi
•Aikatauluta ja rajaa – älä luovu
•Minimoi vastustus – jalkauta
•Osta hyvin Thomas Malmberg linkedin.com/thomasmalmberg @tsmalmbe